Der Banking-
Trojaner Dridex nutzt Microsoft Word, um sich zu verbreiten. Nach erfolgreicher Infektion manipuliert der Schädling besuchte Banking-Webseiten und versucht, die Login-Informationen des Internet-Nutzers zu klauen. Der Sicherheitsanbieter G Data warnt nun vor einem
neuen Trick, mit dem sich Dridex auf fremden PCs einzuschleichen versucht.
Zunächst versenden die Kriminellen Spam-Mails mit einem angehängten Dokument. Diese Datei tarnt sich als DOC-Datei, ist aber in Wahrheit ein MHTML-Dokument. Beide Dateiformate können mit Word geöffnet werden. Der Anwender merkt also keinen Unterschied.
Die Datei enthält einen Makrocode, mit dem ein weiteres Programm aus dem Internet heruntergeladen werde soll. Normalerweise sind Makros in Microsoft Office aber mittlerweile deaktiviert. Die Datei zeigt dem Anwender deswegen einen Buchstabensalat mit der Aufforderung, Makros zu aktivieren, um den Inhalt der Nachricht lesen zu können.
Fällt der Nutzer auf den Trick herein, lädt das Makro aber stattdessen einen kleinen Downloader herunter. Dieser hat die Aufgabe, die Benutzerkontensteuerung von Windows zu umgehen und das eigentliche Schadprogramm – den Banking-Trojaner Dridex – herunterzuladen.G Data empfiehlt, ein
Windows-Update von Microsoft herunterzuladen und zu installieren. Das Update sorgt dafür, dass die Warnmeldungen der Benutzerkontensteuerung nicht unterdrückt werden können. Dieses durchaus sinnvolle Update wird nicht standardmäßig installiert. Eine geeignete Ergänzung zu Ihrem installierten Virenscanner ist
RogueKiller.
Neben dem Manipulieren von Webseiten und Klauen von Login-Daten kann Dridex unter anderem weiteren Schadcode nachladen und ausführen, sich selbst aktualisieren, Screenshots anfertigen und den infizierten PC in ein Botnet einklinken.